Verwende OVPN, wenn dir deine Sicherheit wichtig ist
Deine Privatsphäre und Sicherheit stehen im Mittelpunkt von OVPN. Aus diesem Grund haben wir ein mehrschichtiges Sicherheitsmodell implementiert.
Ebene 1: Physikalische Sicherheit auf den VPN-Servern
Sämtliche Hardware, die wir für die Bereitstellung unserer Dienstleistungen nutzen, befindet sich in unserem Besitz und ist in isolierten Racks untergebracht. Alle Server arbeiten ohne Festplatten, da sich das Betriebssystem nur im RAM-Speicher befindet.
Beim Bootvorgang wird das korrekte Disk-Image unter Hinzunahme von iPXE von unseren verschlüsselten Boot-Servern eingespeist. Sobald das Disk-Image heruntergeladen worden ist, wird der Kernel verifiziert und eine Prüfung der initrd-Signatur durchgeführt, um sicherzustellen, dass in keiner Weise eine Manipulation stattgefunden hat.
Das Betriebssystem wird in den RAM-Speicher geladen; anschließend kann der Server-Bootvorgang erfolgen, sofern die Überprüfung erfolgreich gewesen ist. Schlägt die Überprüfung fehl, wird der Server neu gebootet; der Prozess wird solange erneut durchgeführt, bis die Verifizierungssignatur als gültig erkannt worden ist und der Server sicher gestartet werden kann.
Ebene 2: Software-Sicherheit auf den VPN-Servern
Wir verwenden ausschließlich eine abgespeckte Version von Alpine Linux als Betriebssystem.
OVPN protokolliert keinerlei Aktivitäten, solange es mit unserem VPN-Dienst verbunden ist. Daher entzieht es sich unserer Kenntnis, wer unsere Dienste nutzt, was diese Person tut bzw. zu welchem Zeitpunkt. Bitte wirf hierzu auch einen Blick auf unsere Datenschutzrichtlinien.
Die OpenVPN-Prozesse verfügen über keinerlei Schreibrechte; die Syslog-Funktion wurde deaktiviert, um sicherzustellen, dass Protokolle nicht einmal temporär im RAM-Speicher erstellt werden können.
Für WireGuard sorgt unser Key-Management-Daemon dafür, dass Peer-Informationen nicht auf unbestimmte Zeit im Serverspeicher aufbewahrt werden. Alle Peers, die in den letzten drei Minuten keinen Handshake hatten, werden entfernt, um sicherzustellen, dass wir so wenig Informationen wie möglich behalten.
Unsere VPN-Server unterstützen keinen physischen Zugriff über Konsolen-, Tastatur- oder USB-Anschlüsse. Kritische Sicherheitsupdates werden täglich installiert.
Technische Details zu OpenVPN
| Protokoll | UDP und TCP |
| Ports | 1194, 1195 & 443 |
| Data channel cipher | ChaCha20-Poly1305 (OpenVPN 2.5+) AES-256-GCM (OpenVPN 2.4+) AES-256-CBC mit HMAC-SHA1 (Openvpn 2.3 und älter) |
| Control channel cipher | TLSv1.3: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLSv1.2 und älter: TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256 TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256 |
| Key exchange authentication | Diffie-Hellman und Perfect Forward Secrecy (DHE) unter Verwendung eines RSA-Schlüssels mit einer Schlüssellänge von 4096 Bit, mit einem Re-Keying alle 45 bis 75 Minuten. |
| Extra auth key | RSA mit einer Schlüsselgröße von 2048 Bit |
| Extra crypt key | RSA mit einer Schlüsselgröße von 2048 Bit |
Technische Details für WireGuard
| Protokoll | UDP |
| Ports | 9929 |
| Authentifizierung | Poly1305 |
| Symmetrische Verschlüsselung | ChaCha20 |
| Elliptische Kurve | Curve25519 |
| Hashing | BLAKE2s |
| Hashtable-Schlüssel | SipHash24 |
| Schlüsselableitung | HKDF |
Ebene 3: Desktop-Client & Apps
Wir entwickeln aktiv einen Desktop-Client für Windows, macOS, Ubuntu, Fedora und openSUSE.
Der Client verfügt über einen Killswitch, der Datenleaks verhindert, falls die Verbindung zu OVPN abbricht. Dass der Killswitch funktioniert einwandfrei, kann problemlos geprüft werden.
Um ein DNS-Leak zu verhindern, geht der Client wie folgt vor:
- Ändert die Einstellungen aller verfügbaren Netzwerkadapter auf deinem Gerät, um sicherzustellen, dass die DNS-Server von OVPN verwendet werden
- Überprüft jede Sekunde die DNS-Einstellungen der Adapter, um sicherzustellen, dass keine installierte Software versucht, die verwendeten DNS-Server zu ändern
Darüber hinaus kann die OVPN-App für iOS und Android genutzt werden, um deinen mobilen Datenverkehr zu schützen.
Ebene 4: Browsererweiterung
Die Browsererweiterung ist für Chrome und Firefox erhältlich und existiert vor allem aus zwei Gründen:
- WebRTC blockieren: Deine private IP-Adresse kann durch WebRTC offengelegt werden, selbst wenn du mit OVPN verbunden bist. Die Erweiterung schützt dich vor solchen Leaks, ohne WebRTC vollständig zu deaktivieren, sodass du weiterhin von den Vorteilen von WebRTC profitieren kannst.
- Block-Tracker: Blockiere Unternehmen, die deine Surfgewohnheiten ohne deine Zustimmung verfolgen und Profile erstellen. Die Erweiterung blockiert Analyse-Tracker, wodurch sichergestellt wird, dass dein Surfverhalten privat bleibt.
Ebene 5: Transparenz
Durch die Verwendung eines VPN-Dienstes überträgst du im Wesentlichen das Vertrauen von deinem ISP auf den VPN-Anbieter. Hier ist es von entscheidender Bedeutung, dass du einen VPN-Dienst verwendest, der vertrauenswürdig und transparent darüber informiert, wie das Unternehmen geführt wird und welche Verfahren zum Schutz deiner Privatsphäre und Integrität eingesetzt werden.
OVPN ist vertrauenswürdig, transparent und legt auf ausführliche Art und Weise dar, wie wir die Sicherheit unserer Kunden gewährleisten. Bitte lies dir unsere Datenschutzrichtlinien, unsere Nutzungsbedingungen und unsere Transparenzrichtlinien durch.
Ebene 6: Webseite
Für die Erstellung eines Kontos ist keine E-Mail-Adresse erforderlich. Es ist möglich, Abonnements anonym zu bezahlen, indem du einen Umschlag mit Bargeld an unser Büro schickst oder mit Kryptowährungen bezahlst.
Wir gehen ausführlich darauf ein, welche Nutzerdaten genau in unseren Datenschutzrichtlinien gespeichert sind.
Ebene 7: Versicherung zur Deckung von Anwaltskosten
Konflikte sind teuer und kompliziert. Das haben wir aus erster Hand erfahren, als wir gerichtlich bewiesen haben, dass OVPN ein log-freies VPN ist. Als zusätzliche Sicherheit haben wir eine Rechtsschutzversicherung abgeschlossen, die uns die finanziellen Mittel verschafft, um sämtliche Auskunftsersuchen abzuwehren.
Im Falle von Dritten, die Informationen über unsere Kunden verlangen, sind wir bereit, vor Gericht zu gehen. Wir werden alles in unserer Macht Stehende tun, um zu verhindern, dass jemand Zugang zu Kundeninformationen erhält.